Hace unas semanas, la 32.ª edición de RSA, una de las conferencias de ciberseguridad más grandes del mundo, concluyó en San Francisco. Entre lo más destacado, Kevin Mandia, CEO de Mandiant en Google Cloud, presentó una retrospectiva sobre el estado de la ciberseguridad. Durante su discurso de apertura, Mandia declaró:
«Hay pasos claros que las organizaciones pueden tomar más allá de las salvaguardas comunes y las herramientas de seguridad para fortalecer sus defensas y aumentar sus posibilidades de detectar, frustrar o minimizar los ataques. […] Honeypotso cuentas falsas que los usuarios autorizados dejan deliberadamente intactas, son efectivos para ayudar a las organizaciones a detectar intrusiones o actividades maliciosas que los productos de seguridad no pueden detener«.
«Construir honeypots» fue uno de sus siete consejos para ayudar a las organizaciones a evitar algunos de los ataques que podrían requerir la participación de Mandiant u otras empresas de respuesta a incidentes.
Como recordatorio, los honeypots son sistemas de señuelo que están configurados para atraer a los atacantes y desviar su atención de los objetivos reales. Por lo general, se utilizan como un mecanismo de seguridad para detectar, desviar o estudiar los intentos de los atacantes de obtener acceso no autorizado a una red. Una vez que los atacantes interactúan con un honeypot, el sistema puede recopilar información sobre el ataque y las tácticas, técnicas y procedimientos (TTP) del atacante.
En una era digital en la que las violaciones de datos son cada vez más comunes a pesar de los crecientes presupuestos asignados a la seguridad cada año, Mandia señaló que es crucial adoptar un enfoque proactivo para limitar el impacto de las violaciones de datos. De ahí la necesidad de dar la vuelta a los atacantes y el renovado interés en los honeypots.
Qué son los señuelos de pesca para las redes de pesca
Aunque los honeypots son una solución eficaz para rastrear a los atacantes y prevenir el robo de datos, aún no se han adoptado ampliamente debido a sus dificultades de configuración y mantenimiento. Para atraer a los atacantes, un honeypot debe parecer legítimo y aislado de la red de producción real, lo que dificulta su configuración y escalado para un equipo azul que busca desarrollar capacidades de detección de intrusos.
Pero eso no es todo. En el mundo actual, la cadena de suministro de software es muy compleja y está formada por muchos componentes de terceros, como herramientas SaaS, API y bibliotecas, que a menudo provienen de diferentes vendedores y proveedores. Los componentes se agregan en todos los niveles de la pila de creación de software, lo que desafía la noción de un perímetro «seguro» que debe defenderse. Esta línea móvil entre lo que está controlado internamente y lo que no puede frustrar el propósito de los honeypots: en este mundo liderado por DevOps, los sistemas de administración de código fuente y las canalizaciones de integración continua son el verdadero cebo para los hackersque los honeypots tradicionales no pueden imitar.
Para garantizar la seguridad y la integridad de su cadena de suministro de software, las organizaciones necesitan nuevos enfoques, como los tokens de miel, que son para los honeypots lo que los señuelos de pesca para las redes de pesca: requieren recursos mínimos pero son muy efectivos para detectar ataques.
Señuelos Honeytoken
Los tokens de miel, un subconjunto de los honeypots, están diseñados para aparecer como una credencial o un secreto legítimo. Cuando un atacante usa un token de miel, se activa una alerta de inmediato. Esto permite a los defensores tomar medidas rápidas en función de los indicadores de compromiso, como la dirección IP (para distinguir los orígenes internos de los externos), la marca de tiempo, los agentes de usuario, la fuente y los registros de todas las acciones realizadas en el token de miel y los sistemas adyacentes.
Con honeytokens, el cebo es la credencial. Cuando se viola un sistema, los piratas informáticos generalmente buscan objetivos fáciles para moverse lateralmente, escalar privilegios o robar datos. En este contexto, las credenciales programáticas, como las claves API de la nube, son un objetivo ideal para el análisis, ya que tienen un patrón reconocible y, a menudo, contienen información útil para el atacante. Por lo tanto, representan un objetivo principal para que los atacantes busquen y exploten durante una brecha. Como resultado, también son el cebo más fácil de difundir para los defensores: pueden alojarse en activos en la nube, servidores internos, herramientas SaaS de terceros, así como estaciones de trabajo o archivos.
De media, se necesitan 327 días para identificar una violación de datos. Al distribuir tokens de miel en varias ubicaciones, los equipos de seguridad pueden detectar infracciones en cuestión de minutos, lo que mejora la seguridad de la canalización de entrega de software contra posibles intrusiones. El sencillez de honeytokens es una ventaja significativa eliminando la necesidad de desarrollar todo un sistema de engaño. Las organizaciones pueden crear, implementar y administrar fácilmente tokens de miel a escala empresarial, asegurando miles de repositorios de código simultáneamente.
El futuro de la detección de intrusos
El campo de la detección de intrusos ha permanecido bajo el radar durante demasiado tiempo en el mundo DevOps. La realidad sobre el terreno es que las cadenas de suministro de software son el nuevo objetivo prioritario para los atacantes, que se han dado cuenta de que los entornos de desarrollo y construcción están mucho menos protegidos que los de producción. Es crucial hacer que la tecnología trampa sea más accesible, así como facilitar su despliegue a escala mediante la automatización.
GitGuardian, una plataforma de seguridad de código, recientemente lanzado su capacidad Honeytoken para cumplir esta misión. Como líder en detección y remediación de secretos, la empresa está en una posición única para transformar un problema, la expansión de secretos, en una ventaja defensiva. Durante mucho tiempo, la plataforma ha enfatizado la importancia de compartir la responsabilidad de seguridad entre los desarrolladores y los analistas de AppSec. Ahora, el objetivo es «desplazarse a la izquierda» en la detección de intrusos al permitir que muchos más generen credenciales de señuelo y las coloquen en lugares estratégicos en la pila de desarrollo de software. Esto será posible al proporcionar a los desarrolladores una herramienta que les permita crear tokens de miel y colocarlos en repositorios de código y en la cadena de suministro de software.
El módulo Honeytoken también detecta automáticamente fugas de código en GitHub: cuando los usuarios colocan honeytokens en su código, GitGuardian puede determinar si se han filtrado en GitHub público y dónde lo hicieron, lo que reduce significativamente el impacto de infracciones como los divulgados por Twitter, LastPass, Okta, Slack y otros.
Conclusión
A medida que la industria del software continúa creciendo, es esencial hacer que la seguridad sea más accesible para las masas. Honeytokens ofrece una solución proactiva y sencilla para detectar intrusiones en la cadena de suministro de software lo antes posible. Pueden ayudar a las empresas de todos los tamaños a proteger sus sistemas, sin importar la complejidad de su pila o las herramientas que estén utilizando: sistemas de gestión de control de código fuente (SCM), canalizaciones de implementación continua de integración continua (CI/CD) y registros de artefactos de software, entre otros. otros.
Con su enfoque fácil de usar y de configuración cero, GitGuardian está integrando esta tecnología para ayudar a las organizaciones a crear, implementar y administrar tokens de miel en una escala empresarial más grande, reduciendo significativamente el impacto de posibles filtraciones de datos.
El futuro de los honeytokens parece brillante, y es por eso que no fue una sorpresa ver a Kevin Mandia elogiar los beneficios de los honeypots para las empresas de seguridad cibernética más grandes en RSA este año.